VaultCrypt, CrypVault

VaultCrypt Ransomware

CrypVault Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует посетить сайт в Tor-сети, чтобы заплатить выкуп (10000-30000 рублей) и вернуть файлы. Оригинальное название: Vault. 
---

Обнаружения: 

Для ранних вариантов обнаружения не сохранились. 

DrWeb -> Trojan.Encoder.10184

Avira (no cloud) -> HEUR/AGEN.1108497

BitDefender -> Adware.GenericKD.43296380

ESET-NOD32 -> Win32/Filecoder.FH

Kaspersky -> Trojan-Ransom.Win32.Scatter.lj

Microsoft -> Ransom:Win32/Genasom!rfn

Qihoo-360 -> Win32/Trojan.Ransom.688

Rising -> Ransom.Teerac!8.57A (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.114b09f6

TrendMicro -> Ransom_CRYPVAULT.F116L6

---

© Генеалогия: VaultCrypt

К зашифрованным файлам добавляется расширение .vault

Активность этого крипто-вымогателя началась с февраля 2015 г. и продолжалась до конца 2016 года. Ориентирован, главным образом, на русскоязычных пользователей, что не помешало распространять его и в других странах.

Этот вымогатель сам не выводит сообщение с требованием выкупа. Вместо этого он регистрирует в реестре Windows новое расширение .vault, в результате чего у всех зашифрованных файлов появляется новая иконка с изображением замка. 

Если жертва попытается открыть такой файл двойным нажатием кнопки мыши, на экране появится сообщение: «Stored in Vault» («Убрано в сейф»). 

Сообщения от VaultCrypt 

В сообщении также же указано, что ключ можно приобрести, посетив onion-сайт, доступный через Tor-браузер.

Записки с требованием выкупа называются: VAULT.txt, VAULT.hta и 
VAULT-README.txt
Одна из них демонстрируется жертве при каждом входе в Windows. Сначала это текстовый файл, а после перезапуска HTA-файл. 

Содержание записки о выкупе:
Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.
   ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
   Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
   Шаг 2:
Используя Tor браузер посетите сайт: xxxx://restoredz4xpmuqr.onion
   Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
   STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас 
c) Стоимость полного восстановления на ресурсе не окончательная
Время блокировки: 02.03.2015 (10:31)

Сообщение VAULT.hta

Подробности работы VaultCrypt 

При первом запуске VaultCrypt с помощью GnuPG генерирует уникальную пару ключей RSA 1024, публичный и приватный. Публичным он зашифровывает найденные на машине файлы с расширениями XLS, DOC, PDF, RTF, PSD, DWG, CDR, CD, MDB, 1CD, DBF, SQLITE, JPG и ZIP. При этом шифровальщик игнорирует некоторые папки (список см. ниже), видимо, чтобы не нарушить нормальную загрузку ОС. Одновременно создаётся VBS-файл для удаления всех теневых копий на диске.

Приватный RSA-ключ, необходимый для расшифровки, VaultCrypt экспортирует и сохраняет в файле vaultkey.vlt. Сюда же он помещает информацию о конфигурации, кодовое имя заражённого ПК и общий счёт зашифрованных файлов по каждому расширению из своего списка. Эти данные нужны для персонализации страницы приёма платежей, а также для сбора статистики по типам шифруемых файлов.

VaultCrypt шифрует файл vaultkey.vlt с помощью публичного мастер-ключа, единого для всех жертв шифровальщика. Итог сохраняется на заражённой машине как %AppData%\VAULT.KEY. Этим же мастер-ключом зловред шифрует файл CONFIRMATION.KEY, содержащий общий список зашифрованных файлов. Приватный мастер-ключ хранится у злоумышленников.

Затем VaultCrypt загружает с другого onion-адреса Browser Password Dump, бесплатный инструмент командной строки для восстановления паролей, и сохраняет его как ssl.exe. С его помощью VaultCrypt попытается украсть идентификаторы при заходе жертвы на разные сайты. Список этих учётных данных он сохраняет в файле cookie.vlt, который впоследствии будет загружен на тот же сайт в Tor-сети.

Чтобы исключить возможность восстановления зашифрованных файлов с помощью программа восстановления данных, VaultCrypt запускает очистку с помощью утилиты SDelete и делает 16 проходов перезаписи. После этого восстановить прежнее содержимое файлов практически невозможно. Затем VaultCrypt создает ряд записей в системном реестре, чтобы сообщение с требованием выкупа отображалось пользователю с каждым заходом в Windows.

При первом переходе жертвы на Tor-сайт по указанной в сообщении ссылке ей предлагают зарегистрироваться путем загрузки файла VAULT.KEY. После этого авторизация производится автоматически, и для посетителя генерируются личный идентификатор и пароль, которые он должен использовать при последующих визитах. На следующей странице ему отображается бегущая строка с информацией о зашифрованных файлах, размере выкупа и т.п., а также с приглашением в чат, чтобы что-то спросить. На момент проведения анализа экспертами Bleeping Computer злоумышленники требовали $247 — около 1 BTC (эквивалент на март 2015 года).

VaultCrypt предлагает жертве бесплатно расшифровать любые четыре файла семи "разрешенных" форматов в качестве теста. 

Все страницы этого onion-сайта выполнены на русском языке, лишь некоторые поля на английском. Имеется также ссылка на англоязычные инструкции, выложенные на Pastebin.

Содержание инструкций на английском языке:
---------
PROBLEM:
[!] Our site is NOT AVAILABLE
SOLUTION:
[+] Try to visit it again after 12 hours
[+] If it is not accessible after 72 hours. Check mirrors:
xxxx://1.onion
xxxx://2.onion
xxxx://3.onion
xxxx://4.onion
[+] If all of the above fails, read explanation about Tor network and try again: xxxx://deepdotweb.com/how-to-access-onion-sites/
[+] .ONION sites CANNOT be accessed via standard browser (like Chrome, IE, Firefox or Safari). Therefore, you need to use Tor Browser: http://torproject.org
---------
PROBLEM:
[!] Cannot find VAULT.KEY or CONFIRMATION.KEY
SOLUTION:
Those authorization keys is stored on your computer in different folders.
1. Go to "My Computer"
2.1. In address line write %APPDATA% and press Enter. At the bottom of the list you can find those AUTH keys
2.2. In address line write %TEMP% and press Enter. Try to find VAULT.KEY a copy there.
2.3. Also it could be found on your User Desktop.
3. Therefore, VAULT.KEY is stored in 3 different places on your computer for preventing accidental deletion.
4. If your machine has multiple users, try to find VAULT.KEY on each user.
5. Warning. Do not modify VAULT.KEY or CONFIRMATION.KEY. In this case, you can not get access to your panel.
---------
PROBLEM:
[!] Everything else what is not listed above
SOLUTION:
[+] Still experiencing problems? Read about BitMessage and write us a letter with a description of your problem.
BitMessage address: BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
[+] To simplify the process of communication via BitMessage you can use xxxx://bitmsg.me
---------

Технические детали

Может распространяться с помощью email-спама и вредоносных вложений (DOC.JS), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует командные файлы Windows, а также программу GnuPG (GNU Privacy Guard, для шифрования данных и создания ЭЦП), утилиту SDelete (Secure Delete, удаляющую файлы, папки) и программу BPD (Browser Password Dump, для сбора паролей). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .cd, .cdr, .dbf, .doc, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .zip.    
Это документы 1С, документы MS Office, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Шифровальщик пропускает файлы, содержащие следующие строки в именах:
abbyy
adobe
amd64
appdata
application
autograph
avatar
avatars
cache
clipart
com_
common
csize
framework64
games
guide
intel
internet
library
manual
maps
msoffice
profiles
program
recycle
resource
resources
roaming
sample
setupcache
support
temp
template
temporary
texture
themes
thumbnails
uploads
windows

Примеры файлов email-вложений:
Счета для оплаты февраль 2015 года - согласовано Коммерческим директором согласовано Главным бухгалтером _ долг letter-attachment_scannеd-OK.dосх{.js}
Акт сверки за 2014 год (сверка проведена - февраль 2015 года) подписано и согласовано Главным бухгалтером _ для контрагента-letter-attachment_scannеd-OK.dосх{.js}
акт сверки (март) 2015 год по итогам первого квартала согласовано бухгалтерией — аttасhmеnt_Dr.Wеb_Sсаnnеd — OK.dосx{.js}

Файлы, связанные с этим Ransomware:
vault.txt
revault.js
svchost.exe
CONFIRMATION.KEY
VAULT.hta
VAULT.KEY
VAULT2.KEY
VAULT.txt
VAULT-README.txt
win.vbs
secring.gpg
trustdb.gpg
и другие

Расположения:
%Desktop%\vault.txt
%Temp%\revault.js
%Temp%\svchost.exe
%AppData%\CONFIRMATION.KEY
%AppData%\ddae25beb5b57d6e.hta
%AppData%\VAULT.hta
%AppData%\VAULT.KEY
%User Temp%\VAULT2.KEY
%User Temp%\VAULT.txt
%User Temp%\VAULT.hta
%User Temp%\a.qq
%User Temp%\gk.vlt
%User Temp%\pk.vlt
%User Temp%\vaultkey.vlt
%User Temp%\cryptlist.lst
%User Temp%\conf.list
%User Temp%\confclean.list
%User Temp%\cryptlist.cmd
%User Temp%\up.vbs
%User Temp%\ultra.js
%User Temp%\ch.vlt
%User Temp%\cookie.vlt
%User Temp%\random_seed
%User Temp%\secring.gpg
%User Temp%\trustdb.gpg
%User Temp%\win.vbs
%UserProfile%\Desktop\VAULT.KEY
%UserProfile%\Desktop\VAULT-README.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vlt notify = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vlt notify" = "mshta %UserProfile%\Application Data\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\VAULT Notification = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"tnotify" = "notepad %Temp%\VAULT.txt"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vltexec" = "wscript //B //Nologo %Temp%\revault.js"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-сайты: restoredz4xpmuqr.onion
tj2es2lrxelpknfp.onion.city
BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>


Степень распространённости: высокая.  
Подробные сведения собраны. Распространение VaultCrypt прекращено.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение 1 к статье:
Скрипт устанавливает свой обработчик открытия файлов с расширением «vault»: при открытии такого файла пользователю должно показываться окно со ссылкой на ключ, но если эти команды отказываются отрабатываться, то файлы с расширением .vault ведут себя как обычные файлы с неизвестным расширением.
Затем созданное ранее HTML-приложение (%AppData%\ddae25beb5b57d6e.hta) добавляется в автозапуск, чтобы его окно отображалось на экране при каждой загрузке системы:
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
После этого из автозапуска удаляются ранее созданные там ключи, открывающие текстовый документ с инструкциями по получению ключа (теперь при загрузке ОС пользователь увидит не текстовый файл, а окно HTML-приложения). 
Также из автозапуска удаляется вызов процедуры шифрования (т.к. к этому моменту все файлы уже зашифрованы).
После этого запускается HTML-приложение, отображающее радостное сообщение о том, что все файлы на ПК зашифрованы.
Предпоследний шаг — вызов для всех томов утилиты cipher с параметром, предписывающим перезаписать всю информацию на секторах жесткого диска, неотведённых ни под один файл. С помощью этой команды данные удалённых ранее файлов окончательно перезатираются на физическом уровне на всех доступных дисках от A до Z.

Дополнение 2 к статье:
Анализ одной из модификаций шифровальщика VaultCrypt
Ссылка: habrahabr.ru/post/266077/

---

Сообщение от 8 июня 2020 >>

Результаты анализов: VT

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.10184

Avira (no cloud) -> HEUR/AGEN.1108497

BitDefender -> Adware.GenericKD.43296380

ESET-NOD32 -> Win32/Filecoder.FH

Kaspersky -> Trojan-Ransom.Win32.Scatter.lj

Microsoft -> Ransom:Win32/Genasom!rfn

Qihoo-360 -> Win32/Trojan.Ransom.688

Rising -> Ransom.Teerac!8.57A (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.114b09f6

TrendMicro -> Ransom_CRYPVAULT.F116L6

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VaultCrypt)
 Write-up, Topic of Support, Topic of Support, Write-up
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Maxim Zaitsev
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

TeslaCrypt 2.x

TeslaCrypt 2.x Ransomware

(шифровальщик-вымогатель)

Translation into English

Помощь нужна с разбивкой расширений по месяцам и версиями в рамках от 0.x до 2.x. Кто располагает достоверной информацией, напишите мне. Контактный адрес здесь. 

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-4096, а затем требует выкуп в 1.5 BTC (~$415 на данный день) или $1000 при оплате через PayPal, чтобы вернуть файлы. Были также требования в 2 BTC. Оригинальное название: TeslaCrypt. В записках о выкупе может представляться как другой, более ранний и более известный на момент своего "выхода в свет" шифровальщик. На файле может быть написано, что угодно. 

© Генеалогия: TeslaCrypt > TeslaCrypt 2.x > TeslaCrypt 3.x > TeslaCrypt 4.x > 

К зашифрованным файлам добавляется одно из расширений:
.vvv - в феврале 2015
.ecc - в феврале-марте 2015
.ezz - в апреле-мае 2015, как Alpha Crypt
.exx - в мае 2015, как новый Alpha Crypt (другой экран блокировки)
.abc - а июне 2015
.aaa - в июле-августе 2015
.zzz - в июле-августе и далее в 2015
.xyz - в январе-феврале 2016

Активность этого крипто-вымогателя пришлась на 2015-2016 г. Ориентирован на англоязычных пользователей, что помогло распространять его по всему миру. Больше всего от TeslaCrypt пострадали пользователи в США, Германии, Великобритании, Франции, Италии и Испании.

Записки с требованием выкупа называются:
Howto_Restore_FILES.TXT -  текстовая записка
Howto_Restore_FILES.HTM - веб-страница
Howto_Restore_FILES.BMP - изображение на обои рабочего стола. 

Запиской с требованием выкупа также выступает экран блокировки.

Графический интерфейс, включая заголовок окна заимствован у CryptoLocker Ransomware.

 

Примеры экрана блокировки TeslaCrypt 2.x

Содержание текста о выкупе:
Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc.
Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
In order to decrypt the files open your personal page on site
xxxxs://34r6hq26q2h4jkzj.tor2web.fi and follow the instruction.
Use your Bitcoin address to enter the site:
***
Click to copy Bitcoin address to clipboard if xxxxs://34r6hq26q2h4jkzj.tor2web.org is not opening, please follow the steps:
You must install this browser wvw.torproiect.org/proiects/torbrowser.html.en
After instalation,run the browser and enter address 34r6hq26q2h4jkzj.onion
Follow the instruction on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Any attempt to remove or corrupt this software will result
in immediate elimination of the private key by the server.
---
[Show encrypted files]   [Check Payment]   [Enter Decrypt Key]
[Click to Free Decryption on site]
---
Your private key will be destroyed on:
2/29/2015

Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши файлы были надежно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Нажмите кнопку "Show encrypted files", чтобы увидеть весь список зашифрованных файлов, и вы можете убедиться в этом.
Шифрование создано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ после периода времени, указанного в этом окне.
Как только это будет сделано, никто никогда не сможет восстановить файлы...
Чтобы расшифровать файлы, откройте свою личную страницу на сайте
xxxxs://34r6hq26q2h4jkzj.tor2web.fi и следуйте инструкциям.
Используйте свой Bitcoin-адрес для входа на сайт:
***
Нажмите, чтобы скопировать Bitcoin-адрес в буфер обмена, если xxxxs://34r6hq26q2h4jkzj.tor2web.org не открывается, выполните следующие действия:
Вы должны установить этот браузер wvw.torproiect.org/proiects/torbrowser.html.en
После установки запустите браузер и введите адрес 34r6hq26q2h4jkzj.onion
Следуйте инструкциям на веб-сайте. Напоминаем, что чем скорее вы это сделаете, тем больше шансов восстановить файлы.
Любая попытка удалить или испортить это программное обеспечение приведет к немедленному удалению сервером закрытого ключа.
---
Показывать зашифрованные файлы [Проверить платеж] [Ввести ключ дешифрования]
[Нажмите, для бесплатной дешифровки на сайте]
---
Ваш закрытый ключ будет уничтожен:
2/29/2015



На Tor-сайте TeslaCrypt содержатся инструкции о том, как можно оплатить выкуп в биткоинах или с картой PayPal My Cash. Сайт также позволяет дешифровать один файл бесплатно, чтобы доказать, что они правда могут расшифровать файлы. Сайт имеет систему сообщений, которая позволяет жертве конфиденциально общаться с разработчиками шифровальщика.

Скриншоты сайта оплаты

Технические детали

С начала 2015 года новые варианты TeslaCrypt загружает Nemucod. Nemucod - это вредоносный JavaScript, который обычно появляется как .zip-приложение и пытается загрузить на ПК другой вредонос. Известно, что Nemucod загружает такие угрозы, как Fareit, CryptoWall и несколько других угроз. Распространяется через скомпрометированный веб-сайт, который загружает TeslaCrypt в систему посетивших сайт пользователей. Кроме того, браузер может быть перенаправлен на страницу, где будет применён набор эксплойтов Angler EK. 

В общем плане может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Разработчики TeslaCrypt создавали свой вредонос, чтобы требовать выкуп не только за документы или фотографии, но за файлы, которые относятся к компьютерным играм. Среди них следующие игры и серии:
 Assassin's Creed (файлы игры)
 Bethesda Softworks (файлы настроек игр)
 Bioshock 2
 Call of Duty
 Day Z (файлы профиля)
 Diablo
 Dragon Age: Origins (файлы игры)
 EA Sports
 Fallout 3
 F.E.A.R. 2 (файлы игры)
 Half-Life 2
 Leagues of Legends
 Metin2
 Metro 2033
 Minecraft (моды)
 Resident Evil 4
 RPG Maker VX (RGSS)
 S.T.A.L.K.E.R. (файлы игры)
 Saints Row 2
 Skyrim animation
 Star Craft 2 (сохранения)
 Star Wars: The Knights Of The Old Republic
 Steam NCF Valve Pak
 The Elder Scrolls
 Unity3D (сцены)
 Unreal 3
 Unreal Engine 3 (файлы игры)
 WarCraft 3
 World of Tanks (битвы)
 World of Warcraft

После первоначального выполнения TeslaCrypt копирует свои файлы в папку AppData: 
\AppData\Roaming\<random{7-11}>.exe - например, iylipul.exe
\AppData\Roaming\key.dat 
\AppData\Roaming\log.html 

TeslaCrypt завершает работу процессов:
taskmgr
procexp
regedit
msconfig
cmd.exe

TeslaCrypt удаляет теневые копии файлов командой:
 vssadmin.exe Delete Shadows / All / Quiet

TeslaCrypt изменяет в реестре параметр "EnableLinkedConnections" на значение 1, чтобы заставить Windows сделать доступ к сетевым дискам из программ, запущенных с админ-правами, как для административных, так и для стандартных учетных записей. Это позволит без проблем выполнять поиск и шифрование файлов на сетевых и съёмных дисках.
Для этого используется команда:
reg add «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System» /v «EnableLinkedConnections» /t REG_DWORD /d 0x00000001 /f  

ВНИМАНИЕ! Если вы храните файлы на внешнем жёстком диске, то не подключайте этот диск, когда выходите в Интернет, что-то скачиваете и устанавливаете. Будьте также осторожны с DropBox, OneDrive, Яндекс.Диск и другими облачными сервисами. Если у вас там есть папки, синхронизированные с онлайн-хранилищем, то вредоносное ПО также получит к ним доступ. С ними следует поступать также, как и с внешними дисками (см. выше) — отключать. Иначе шифровальщик, на примере TeslaCrypt, без труда получит доступ к хранимым там файлам и зашифрует их. 

Затем он вызывает API GetLogicalDriveStringsW и перечисляет все доступные диски в системе. Он ищет целевые файлы для шифрования на всех локальных, сетевых и съёмных дисках, но избегает следующих:

- файлов из директорий \Windows\, \ProgramFiles\, \AllUsers\ 

- файлов, содержащие строки и расширения, такие как "recove" и ".vvv", ".ecc", чтобы избежать шифрования файлов инструкции Howto_Restore_FILES.TXT и тех файлов, которые уже были зашифрованы.

TeslaCrypt также создает в реестра запись автозапуска, чтобы его копия выполнялась при каждой перезагрузке компьютера и продолжала шифровать новые и найденные файлы.
Например: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe

Наконец, он сохраняет записки о выкупе Howto_Restore_FILES.TXT и Howto_Restore_FILES.HTM на Рабочем столе и устанавливает одноимённое с ними BMP-изображение с белым текстом на чёрном фоне на обои Рабочего стола. 

После выполнения всех своих задач TeslaCrypt снова сохраняет свою копию в каталоге %AppData% и удаляет себя. Для обеспечения дальнейшей работы только одного экземпляра он создает мьютекс «2134-1234-1324-2134-1324-2134».

Вымогатели позволяют в качестве демонстрации работы своего дешифровщика восстановить один файл бесплатно. На Tor-сайте есть встроенный чат, в котором пользователь может получить техническую поддержку от вымогателей, например, если ему что-то непонятно в механизмах приобретения биткоинов.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arc, .arch00, .arw, .bar, .bay, .bc6, .bc7, .big, .bkf, .bkp, .blob, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lrf, .lvl, .m2, .m3u, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdb, .qdf, .qic, .r3d, .raf, .raw, .rb, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sb, .sid, .sidd, .sidn, .sie, .sis, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wmo, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (164 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Howto_Restore_FILES.TXT
Howto_Restore_FILES.HTM
Howto_Restore_FILES.BMP
<random{7-11}>.exe
key.dat
log.html

Расположения:
%Desktop%\CryptoLocker.lnk - ярлык на исполняемый файл
%Desktop%\<ransom_notes> - записки о выкупе на Рабочем столе
\AppData\Roaming\<random{7-11}>.exe - исполняемый файл, например, iylipul.exe
\AppData\Roaming\key.dat - специальный файл
\AppData\Roaming\log.html - список зашифрованных файлов

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://34r6hq26q2h4jkzj.2kjb8.net
xxxxs://34r6hq26q2h4jkzi.tor2web.fi
xxxx://atendercrumb.com/***
xxxx://aumentopenis.org/***
xxxx://apiercephoto.com/***
xxxx://austinberean.com/***
xxxx://attlecostumiers.com/***
xxxx://athomegirl.com/***

и другие, см. ниже результаты анализов.

BTC: 15Y2TmHrxjmRFxfNUttwb9aU4DifvDpWKM
1BCH7nezhy3mN4Ksp5L53erpUdmb5NTopa

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ: VT(17-2-15)>  VT(3-4-15)>  VT(15-6-15)>
Другой анализ >>

Степень распространённости: была очень высокая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Decryptor
 ID Ransomware (ID as TeslaCrypt 2.x)
 Write-up, Topic of Support, Guide + FAQ
 Topic of Support (.VVV, .CCC, .EXX, .EZZ, .ECC, etc) 

 Thanks: 
 Lawrence Abrams (BleepingComputer)
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Coin Locker

Coin Locker Ransomware

CoinLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью шифра Цезаря (Ceasar Cipher), а затем требует перейти на сайт в сети Tor, чтобы узнать, как вернуть файлы. Оригинальное название: Coin Locker. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января - начало февраля 2015 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: Coin.Locker.txt

Содержание записки о выкупе: 

You have been infected with the Coin Locker malware.

All files on this system have been encrypted.

To regain access to your files you will need the Coin Locker decryption software.

To obtain our software you will need to access the deep web with TOR, download TOR here:

https://www.torproject.org/download/download-easy.html.en

Launch TOR and navigate to our website:

http://unjbvgrxu2mpobuj.onion

Follow the steps on the site to use the decryption software and your files will be unlocked.

Перевод записки на русский язык: 

Вы инфицированы вредоносом Coin Locker.

Все файлы в этой системе зашифрованы.

Чтобы вернуть доступ к своим файлам, вам нужна программа для расшифровки Coin Locker.

Чтобы получить нашу программу, вам потребуется доступ к темной сети с TOR, загрузите TOR здесь:

https://www.torproject.org/download/download-easy.html.en

Запустите TOR и перейдите на наш сайт:

http://unjbvgrxu2mpobuj.onion

Следуйте инструкциям на сайте, чтобы использовать программу для расшифровки, и ваши файлы будут разблокированы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Подробности о шифровании: 

Когда Coin Locker шифрует файл, он использует шифр подстановки символов, известный как Ceasar Cipher (шифр Цезаря), который использовал Юлий Цезарь для шифрования конфиденциальных сообщений. В нем применяется замена букв, когда каждый символ заменяется другой буквой на определенное количество мест до или после него в том же алфавите. Поскольку этот тип шифра просто использует замену букв, его расшифровка довольно проста. Пример смещения шифра на четыре символа вправо показан на рисунке ниже. 

Используемое преобразование обычно обозначают как ROTN, где N — сдвиг на N-ное число позиций, ROT — сокращение от слова ROTATE, в данном случае "циклический сдвиг". Пример того, как будет выглядеть текст с разным числом позиций, показан ниже. 

Список файловых расширений, подвергающихся шифрованию:
Шифрует каждый файл, включая исполняемые. 

Среди зашифрованных наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает только директории, в имени которых есть слова: 
Windows 

Mozilla 

Google 

Notepad

Файлы, связанные с этим Ransomware:
Coin.Locker.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Top-URL: http://unjbvgrxu2mpobuj.onion

Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление февраля 2015:

Стараниями сообщества BleepingComputer был создан дешифратор CoinLocker Decrypter, который исправлял файлы. 

Подробнее >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Coin Locker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

NSB, VirLock

NSB Ransomware

Virlock Ransomware

ViraLock Ransomware

(гибрид-вымогатель, деструктор)
Translation into English

Этот вымогатель блокирует и шифрует данные пользователей с помощью XOR, а затем требует выкуп в ~0.6-0.8 BTC, чтобы вернуть файлы. Оригинальное название: не указано. В окне написано: NATIONAL SECURITY BUREAU и NSB. На файле написано: что попало, в том числе: Virlock.exe, ViraLock.exe

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: семейство VirLock. 

К перезаписанным и зашифрованным файлам добавляется расширение: .exe

Ранний образец этого вымогателя известен с октября 2014 г., потом он был модифицирован, и заново обнаружен в конце 2014 - начале 2015 г. Видимо активно распространялся до конца 2016 года. Разные исследователи находили и описывали его позже — в 2017 и 2018 гг. В ID Ransomware был добавлен только в июле 2018 как NSB Ransomware. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Наибольшее распространение было в США, Канаде, Европе, Китае, Австралии, на Филиппинах. 

Сообщение в окне экрана блокировки содержит текст предупреждения для пользователя и предлагает оплатить сумму выкупа в биткоинах. 

Содержание записки о выкупе:
NATIONAL SECURITY BUREAU                                                                       NSB
Your computer was automatically blocked. Reason: Pirated software found on this computer.
Your computer is now blocked. 184 files have been temporarily blocked on your computer.
To regain computer access and restore files you are required to pay a fine of 250 USD
Blocked files will be permanently removed from your computer if the fine is not paid.
The NSB has two ways to pay a fine:
1. You can pay your fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest vendor. Your computer will be unlocked after you make your payment.
2. You an come to your provincial courthouse and pay your fine at the Cashiers window.
Your computer will be unlocked within 4-5 working days.
To regain access transfer bitcoins to the following address (click to copy):
198tX7NmLg 6o 8qcTT2Uv9cSBVzN3oEozpv
After the payment is finalized enter Transfer ID below.
Amount:  Transfer ID:
BTC 0.661  [ _____________________________________ ] [PAY FINE]

If the fine is not paid, a warrant will be issued for your arrest,

which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.

Payment BitCoin Information BitCoin Exchanges BitCoin ATMs Internet Browser Notepad

Перевод записки на русский язык:
НАЦИОНАЛЬНОЕ БЮРО БЕЗОПАСНОСТИ NSB
Ваш компьютер был автоматически заблокирован. Причина: пиратское программное обеспечение найдено на этом компьютере.
Ваш компьютер заблокирован. 184 файла были временно заблокированы на вашем компьютере.
Чтобы восстановить доступ к компьютеру и восстановить файлы, вам надо заплатить штраф в размере 250$ США
Заблокированные файлы будут удалены с вашего компьютера навсегда, если штраф не оплачен.
У NSB есть два способа заплатить штраф:
1. Вы можете оплатить свой штраф онлайн через BitCoin. BitCoin доступен по всей стране.
Перейдите на вкладку ниже, чтобы найти ближайшего поставщика. Ваш компьютер будет разблокирован после оплаты.
2. Вы приходите в свой провинциальный суд и оплачиваете штраф в окне Кассиров.
Ваш компьютер будет разблокирован в течение 4-5 рабочих дней.
Чтобы вернуть биткойны доступа к следующему адресу (нажмите, чтобы скопировать):
198tX7NmLg 6o 8qcTT2Uv9cSBVzN3oEozpv
После завершения платежа введите ID перевода ниже.
Сумма: ID перевода:
BTC 0.661 [_____________________________________] [PAY FINE]
Если штраф не уплачен, ордер будет выдан на ваш арест,
который будет отправлен вашим местным властям. Вам будет предъявлено обвинение, оштрафован, осужден на срок до 5 лет.
Платеж BitCoin информация BitCoin обмен BitCoin банкоматы Интернет-браузер Блокнот

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Подробности о работе вредоноса (из статьи ESET):
  Вместо обычного метода побайтового шифрования всего файла или его начала, Virlock преобразует целевой файл в исполняемый и дописывает к нему свой код. 
  При заражении (шифровании) неисполняемого файла Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным к его имени расширением .exe. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.
  Запуск зараженного Virlock файла сопровождается созданием двух его новых файлов, которые аналогичны оригинальному дропперу, но из-за полиморфизма содержат разный исполняемый код. Один файл создается в директории %USERPROFILE%, а второй в %ALLUSERPROFILE%. Для обеспечения автозагрузки вредонос прописывает путь к своему файлу в соответствующем Run-разделе реестра в HKLM и HKCU. 
  Часть кода вымогателя отвечает за отображение пользователю экрана блокировки, при этом использует типичные методы самозащиты, в том числе завершение процессов проводника и диспетчера задач. 
  Полиморфизм Virlock гарантирует уникальность тела вредоносной программы в каждом зараженном файле. Virlock использует несколько слоев шифрования файла. Исполняемый файл Virlock включает в себя специальный код, который мы назвали XOR stub builder. Он находится в файле в незашифрованном виде. Остальные данные вредоноса и ее код, а также данные оригинального файла (в случае, если мы имеем дело не с оригинальным дроппером, а файлом который был заражен) находятся в зашифрованном виде. 
  Нами наблюдались модификации Virlock, которые извлекали из себя третий исполняемый файл. Он регистрировался в качестве сервиса. Эти извлеченные файлы отвечали за дальнейшее заражение файлов в системе.

Больше информации от ESET смотрите в оригинальных статьях (на английском, на русском).

Список файловых расширений, подвергающихся блокировке:
Целевыми являются файлы следующих типов: .bmp, .cer, .crt, .doc, .exe, .gif, .jpeg, .jpg, .mdb, .mp3, .mpg, .p12, .p12, .p7b, .pdf, .pem, .pfx, .png, .ppt, .psd, .rar, .wma, .xls, .zip

➤ Создаёт много процессов. Может заражать файлы на сетевых дисках и съемных носителях.

➤ Использует процессы cmd.exe, conhost.exe, cscript.exe, taskkill.exe, reg.exe для изменения содержимого файлов и ключей реестра.

➤ Перезаписывает файлы, добавляя в них свою копию и превращая их в EXE-файлы, которые при открытии снова инфицируют систему и снова запускают блокировщик экрана с текстом якобы от NATIONAL SECURITY BUREAU. Оригинальное содержимое файла шифруется. 

➤ Заражённый файл содержит значок, как у исходного значка незашифрованного файла, потому ничего не подозревающий пользователь может попытаться открыть и при этом запустить такой файл на исполнение.

➤ В более новых версиях на компьютер также дроппируется архив Win64.Trojan.GreenBug.zip

Файлы, связанные с этим Ransomware:
ViraLock.exe
<random>.exe - множество файлов со случайными названиями
Win64.Trojan.GreenBug.zip - сбрасываемый архив с копией себя

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-1: 198tX7NmLg6o8qcTT2Uv9cSBVzN3oEozpv
BTC-2: 1N43vMz9qB1xcBFFzCGnENSmBrE3sXifrn
См. ниже результаты анализов.

Результаты анализов на 20 июля 2018 года:
Ⓗ Hybrid анализ на Win64.Trojan.GreenBug.zip >>
𝚺  VirusTotal анализ >>  VT>> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: высокая на момент распространения.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Декабрь 2014 - январь 2015
Ниже представлен экран блокировки более новой версии Virlock, он позволяет пользователю использовать приложения веб-браузер и блокнот.

Вредонос способен определять локализацию интерфейса самого экрана. Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk, google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.

Обновление от 13 марта 2016 года:

Ссылка на статью >>


Обновление от 17 июля 2016 года:

Ссылка на статью >>
Результаты анализов: VT + VT + VT + VT + VT+HA + VT+HA
Обновление от 20 июля 2018 года:
Пост в Твиттере >>
Результаты анализов: VT + VT + VT
На ПК дроппируется архив Win64.Trojan.GreenBug.zip

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Write-up, Write-up, Write-up, Write-up
 ID Ransomware (ID as NSB Ransomware)
 Topic of Support
 🎥 Video review >>

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 ESET, TrendMicro, Mosh, CyberSecurity GrujaRS
 Michael Gillespie, JAMESWT
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.